GDPR 2018 peluquería: la análisis de los riesgos, privacidad y rpd

Post author image.
Beth Ryan
- - Tiempo de lectura 5 min

Si eres gerente de un salón de belleza, centro de estética, barbería o SPA, es fundamental que el sistema de gestión de tu salón, tenga medidas técnicas y de organización que sigan la norma del nuevo reglamento GDPR, en vigor en España desde el 25 de Mayo 2018.

¿Qué significa?

Treatwell Pro permite una fácil gestión de la base de datos de los clientes a cargo del Responsable del Tratamiento y proporciona las herramientas para la creación y la gestión de los documentos previstos en el Reglamento Europeo 2016/679. Además contiene un instrumento para recopilar en formato digital todos los consentimientos.También se facilitará una herramienta de análisis de los riesgos en base a la norma ISO 27000. Treatwell Manager: Dentro de Treatwell Manager existe la posibilidad de nombrar a los Responsables del Tratamiento (RDP o Data Protection Officer – DPO). El formulario de Nombramiento de las personas autorizadas al tratamiento según el modelo standard, está disponible en Treatwell Pro. El DPO no es necesario para todas las empresas individuales.

Data Log y registro de la actividad del salón

Gracias a Treatwell Pro se realiza también la Generación automática de registros de actividad del tratamiento por Titulares y Responsables, en base a la información presente en las diversas secciones del servicio.

Declaración de Responsabilidad GDPR

Es necesario disponer de declaraciones de responsabilidad para todas las figuras involucradas en la gestión de la privacidad de la empresa ( Responsabilidad del Tratamiento, Responsabilidad de la Protección de Datos, Personas Autorizadas, Administradores de sistemas, Custodio de credenciales, Responsables de integridad de datos..etc.)

Formulario Plantilla para la Privacidad de Peluquerías y Centros Estéticos

Treatwell Pro permite también la gestión automática del Procesador de Datos y facilita un modelo para la información de privacidad y las peticiones de consentimiento sobre la base del análisis de tratamientos. La gestión de los mismos y de las peticiones de consentimiento son posteriormente incluidas digitalmente en el software.

Valoración del impacto sobre la protección de datos

Gracias a Treatwell Pro, está también disponible un modelo para el Análisis de riesgo efectuado según la norma ISO 27000. Internamente se encuentran las secciones de identificación e identificación del valor de los activos significativos, análisis de la vulnerabilidad y las amenazas que generan el cálculo de los impactos. Se necesita disponer también del análisis y ponderación de riesgos, y delinear los umbrales de aceptación de riesgos. Por último, se va a identificar y evaluar las opciones para el tratamiento de los riesgos y redactar el relativo Plan de tratamiento de riesgos. También es posible utilizar una herramienta a disposición del Garante.

Formularios y plantillas

Gracias a Treatwell, tendrás a tu disposición- con el paquete Treatwell Pro- los siguientes formularios:

  • Formulario plantilla para la política de privacidad
  • Carta de Nombramiento de Administrador de Sistema: este documento lo debe firmar quien sea el administrador de dominio, Administrador del servidor con psw root o administrador, o quien tenga acceso directo al sistema sin utilización de software. Obviamente será solo personal IT que tenga función de supervisor del sistema o responsable de personal.
  • Formulario de Responsable externo: este documento es para ser firmado por todos los proveedores externos que tratan con nuestros datos, podremos recibir un formulario similar si también nosotros efectuamos servicios utilizando datos de otra sociedad.
  • Nombramiento encargado del tratamiento: necesita ser firmado por todos los dependientes que ejercen cualquier visionado de datos, excluidos dirigentes y administradores de sistema. Por ejemplo, cualquiera que tenga acceso al CRM de la empresa será un encargado.
  • Plantilla notificación de violación de datos personales: documento usado en el momento en el que ocurre una violación de datos-> para la comunicación del Garante.
  • Plantilla Nombramiento DPO ( de ser necesario)
  • Registro de tratamientos:  es el documento que consiente una eventual supervisión por parte del Garante, facilita un cuadro actualizado de tratamientos dentro de la empresa. El registro, gestionado por el Titular y el Responsable, cada uno en su propio ámbito de competencia, debe ser modificado en caso de darse una de las siguientes situaciones:
  1. Creación de un nuevo tratamiento o cese de un tratamiento existente.
  2. Variación de figuras principales en el organigrama de privacidad, como Titular, Responsable, DPO
  3. Variación en la modalidad de tratamiento de datos (ejem: finalidad, categoría de interesados, destinatarios, transferencia de datos, medidas de protección)
  • Quick Assessment – Se trata de la GAP Analysis respecto a los requisitos GDPR, realizada hasta hoy y que tiene en cuenta también las iniciativas actuales ( por ejemplo la elaboración del registro de tratamientos o la DPIA). Es un análisis para uso exclusivo interno y no entra dentro de la documentación a presentar eventualmente a la autoridad competente (el Garante)